Mi piacerebbe creare una webapp che permetta agli utenti di OAuth with Stack Exchange , in modo che possano eseguire azioni come votare attraverso l'app.
Tuttavia, a un certo punto sono bloccato: so come eseguire OAuth, ma molti utenti non vogliono OAuth con la mia app se posso guardare nel DB e prendere le loro credenziali, e possibilmente fare cose cattive con loro.
C'è un modo per creare una webapp OAuthing che non mi consente (l'operatore) di fare cose malvagie con i token?
Poiché la granularità dell'ambito autorizzato dall'API di StackOverflow si interrompe a livello di "scrittura", non è possibile limitare i privilegi autorizzati alla sola votazione.
Gli utenti dovranno semplicemente fidarsi di te. Possono sempre revocare la loro autorizzazione tramite l'app online, in modo che possano limitare qualsiasi danno tu possa fare (o qualcuno che comprometta i token attualmente attivi).
Se vuoi migliorare la tua sicurezza contro gli attaccanti, puoi eliminare pedine che non sono state utilizzate da un po '(anche se non sono scadute) per limitare eventuali danni. L'unica altra cosa che posso pensare è implementare correttamente le connessioni sicure quando si tratta di token.
Leggi altre domande sui tag oauth web-application